[Win2000] - Passwordprobleem bij aanmaken AD account

Hoi,

Als ik in Active Directory van een Windows2000 server van een klant een account wil aanmaken (of het password van een bestaand account wil wijzigen) krijg ik de volgende foutmelding in de Security event log.

Failure Audit - Account Management eventid 628

Event Type: Failure Audit
Event Source: Security
Event Category: Account Management
Event ID: 628
Date: 13-1-2003
Time: 14:57:08
User: xxxxxx\administrator
Computer: BWD-05
Description:
User Account password set:
Target Account Name: ditiseentest
Target Domain: xxxxxx
Target Account ID: %{S-1-5-21-3968629548-2024130574-2585201755-4118}
Caller User Name: Administrator
Caller Domain: xxxxxx
Caller Logon ID: (0x0,0x1111F4E0)

Voor deze melding komen er allemaal Success Audits in de eventlog, het aanmaken van het account enzo in AD gaat goed, alleen bij het password invoeren (of wijzigen) gaat het mis.

Ik heb zojuist nog gechecked, er staat geen Local policies of Domain policies in die bepaalde eisen aan het wachtwoord stellen (zoals minimum lengte ofzo).

Ik kan deze melding ook niet terugvinden in de Microsoft KB of Google nieuwsgroepen.

Wie weet hoe ik dit oplos? Mijn dank is groot!

PS. heb de domeinnaam hierboven ff verborgen met xxxxxx

[ Voor 3% gewijzigd door Verwijderd op 13-01-2003 15:04 ]

sh4d0wman schreef op 13 January 2003 @ 15:30:
password must meet complexity requirements, is uit neem ik aan? (zowel in de domain als domain controller policy) volgens mij krijg je dan ook een andere melding.

hoe ben je aangemeld? op de server zelf? met standaard admin account? of anders?

Yep, die staat uit, Local Policy, Domain Security Policy en Domain Controller Policy.

Ik ben aangemeld met het Administrator account en probeer daarmee rechtstreeks in Active Directory een password te wijzigen, desondanks krijg ik deze melding:

Reptile209 schreef op 13 januari 2003 @ 15:48:
Je moet denk ik verder gaan zoeken op event ID 627: een user verandert zijn password. 628 verschijnt als de admin het doet. Wat gebeurt er na dit event trouwens? Kan de user met het nieuwe password inloggen? Krijgt de admin nog een foutmelding?

De foutmelding hierboven krijg ik als Administrator dus als ik een password van een bestaande user wil wijzigen in Active Directory, ook het aanmaken van een nieuw account lukt niet omdat hij het password niet wil 'setten'.

Weet iemand nog wat? Mijn dank is wederom groot!

Verwijderd schreef op 14 januari 2003 @ 11:01:
er bestaat ook nog een ou policy check die ook ff...

Wat bedoel je precies?

sh4d0wman schreef op 14 januari 2003 @ 11:01:
toch lijkt het er op dat 1 of andere password policy actief is. nog een paar vraagjes dan:

- heb je dit probleem sinds de allereerste install van de server?
- is er nog replicatie of trust met deze AD en andere servers/domeinen?

Het probleem bestond eerst niet, het was eerst goed.

Er is geen trust maar wel replicatie met andere AD servers in 1 domein, ik heb dit probleem op 2 verschilllende domaincontrollers, beide exact hetzelfde probleem.

Het lijkt inderdaad dat er nog ergens (somehow) een domain policy actief is, maar waar dan?

Wederom hartelijk dank!

Verwijderd schreef op 14 januari 2003 @ 12:26:
in de user manager kunnen ou's gemaakt zijn... (lijkt op een "normale" folder met een tekentje erop) hierop kunnen ook policies gedefinieerd zijn... (en deze zijn overrulend volgens local site domain ou volgorde)

edit:
let op machine policy gelden alleen als de machine in die ou hangt...
user policies alleen als de user in die ou hangt...

Ja, ik snap wat je bedoeld maar dat is hier niet het geval, er is geen aparte organizational unit en ook geen aparte policy. Er zijn wel Group Policies maar die heb ik net gechecked, stond niks bij over Password's of password must meet complexity requirements.

Alvast wederom bedankt voor alle moeite.

sh4d0wman schreef op 14 January 2003 @ 15:01:
ik heb (helaas) nog niet veel verstand van Kerberos. probeer anders even een MCSE boek ergens vandaan te trekken. heb ze thuis staan en daar staat het zeker in.

Ik zal eens kijken, dat moet te regelen zijn.

Ik zie wel: ticket request failed staan. zou proberen uit te zoeken of waarom dit geweigerd word, client onbekend? gebruiker geweigerd? encryptie vereist? dat soort dingen.

Idd, zoiets lijkt het mij ook, ik denk dat er somehow iets misgaat met de encryptie.

heb je deze servers trouwens zelf opgezet? of is er ook nog een collega die hier misschien meer vanaf weet?

Ik heb zelf alles opgezet...

ik zal iig dit topic in de gaten houden maar weet zo even geen oplossing helaas

Iig hartelijk dank tot zover.

Rudie_V schreef op 15 January 2003 @ 08:30:
Heb je ook al eens geprobeert(puur voor de test) om eens een gebruiker in bijv. de groep AD\Users aan te maken en kijken of je hiervan het wachtwoord kan resetten? Hierin heb je alleen de default domain policy over je heen en verder geen andere policies.

Ja, heb ik geprobeerd maar dit werkte helaas ook niet. Ik heb ook een nieuwe OU aangemaakt met daarin een nieuwe gebruiker maar ook hier gelijk die password foutmelding.

Tijd synch zal ik nog eens naar kijken maar op de 2 DC's waar ik het op heb getest stonden de tijden volgens mij gewoon gelijk.

Thanks iig.

Meer tips/suggesties zijn welkom!

Rudie_V schreef op 15 januari 2003 @ 11:44:
Je typt dat je bezig ben voor een klant, zit je ook daadwerklijk achter een pc/server van die klant of doe je dit van afstand vanaf een ander domein?
Misschien eens in een test ou testen met block inheritance en geen policies op deze ou zetten, mits je dit nog niet gedaan heb?

Ik zit momenteel bij die klant maar zowel vanaf afstand (via terminal services) als daadwerkelijk op het netwerk zelf heb ik het probleem.

Ik ga vanmiddag weer even wat dingen nalopen en testen, wederom bedankt voor alle input, jullie horen van me.

musiman2 schreef op 16 January 2003 @ 23:21:
[...]


Geen 14, maar 128 karakters max. Maar er is een policy waarin je kunt zeggen dat er minimaal 14 karakters gebruikt moeten worden.
Dus op zich wel een goede zet om bovenstaand wachtwoord even te proberen (want deze voldoet ook aan de complexity requirements)

Jaa, tof. Deze doet het wel, als ik dit password van 14 tekens gebruik!

Er moet dus nog ergens een policy zijn die ervoor zorgt dat kortere passwords (en die uit puur letters bestaan, dus waarschijnlijk niet aan de complexity requirements voldoen) niet geaccepterd worden. Snap ik alleen niet want ik dacht echt dat ik alle policies (Domain Policy, Domain Controller Policy en Group Policy) had gechecked.

Wordt dus ff zoeken... tenzij iemand zo kan zeggen waar deze policy dan wel zit.

IIG bedankt voor de goeie tip! (had ik zelf kunnen bedenken ) We komen er wel.